ESA消息性质确定

简介

本文档介绍如何利用从思科邮件安全设备(ESA)上的各种命令中检索到的邮件日志确定邮件的性质。

先决条件

本文档中的信息基于：

• ESA
• AsyncOS的所有版本

邮件跟踪

如果您运行AsyncOS for Email版本6.0或更高版本，则确定特定邮件发生情况的最有效方法是使用“监控”选项卡中的“邮件跟踪”(Message Tracking)页面。这样，您就可以在易于使用的网络界面中使用各种选项进行搜索。

如果您运行的是旧版本或需要收集所有日志行以进行故障排除，请使用grep或findevent命令，如以下部分中的详细说明。

Findevent命令

如果您具有适用于邮件5.1.2版或更高版本的AsyncOS，则CLI findevent命令将简化特定邮件的搜索。Findevent允许您按发件人、信封收件人或邮件“主题”进行搜索。无论情况如何，这都可以实现。找到消息后，您可以返回与该消息相关的每个日志行。如果您运行不带参数的findevent，则它会启动向导以引导您完成该过程。和以前一样，您可以使用help命令来学习短形式：

> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name

第一个表单在指定的log_name内搜索特定信封发件人、主题或信封收件人并列出匹配的邮件ID (MID)。i标志可用于不区分大小写的搜索。

第二个表单显示给定MID的所有日志行。

如果使用的是旧版本，可以使用CLI grep命令完成相同的任务。但是，使用grep命令需要更详细地了解ESA如何记录消息事件。

Grep命令

搜索邮件日志时的第一个难题是查找邮件。如果搜索发件人、收件人或主题，则可以执行此操作。找到邮件后，必须了解邮件日志的组织方式。内容安全邮件日志事件带有缩写。最重要的事件是ICID、MID、RID和DCID。

注入连接ID (ICID)：当远程主机建立到设备的连接时，该连接会分配一个ICID。一个ICID可以生成多个MID。

注意：ICID 0定义从自身注入的消息。事实上，ICID或DCID后面的数字0是指向设备本地环路地址开放或从设备本地环路地址开放的会话。

MID：一旦建立连接，每个成功的简单邮件传输协议(SMTP)邮件发件人：命令都会创建一个新的MID。单个MID可以生成多个RID。

收件人ID (RID)：每个收件人(收件人： Cc：或Bcc获得一个RID。只有在出现软退回（连接错误）并重新尝试传送时，RID才会生成多个DCID。

传送连接ID (DCID)：到达同一目标域的每个收件人收到相同的DCID，但仅限于接收系统。因此，如果消息的接收方都进入同一域，则所有RID都有一个DCID。相反，如果每个RID转至一个单独的域，则存在一对一关联。

注意：DCID 0定义从未发送的消息。事实上，ICID或DCID后面的数字0是指向设备本地环路地址开放或从设备本地环路地址开放的会话。

通常，当您找到您的消息时，会找到其MID。然后您会为MID进行评分并确定ICID和RID。使用ICID，您可以确定发件人的SenderBase信誉得分(SBRS)。使用RID，然后使用DCID，您可以确定ESA尝试传送时发生的情况。

注意：一旦拥有MID、ICID和DCID，您即可在一个grep中检索该消息的所有行（如果消息来源不早于最早的邮件日志）。

example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs

示例

1. 搜索邮件主题：
   
   

   example.com> grep
   Currently configured logs:
   16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
   Enter the number of the log you wish to grep.
   []> 16
   Enter the regular expression to grep.
   []> test
   Do you want this search to be case insensitive? [Y]>
   Do you want to tail the logs? [N]>
   Do you want to paginate the output? [N]>
   Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
   Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
   'testdrop'
   Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
   Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
   Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
   Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
   Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
   Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
   Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
   Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'

   
   
   这将生成多个匹配，这些匹配在主题中包含test。邮件大约在下午3:42发送，因此您可以使用该MID进行下一次搜索。
   
   关于这些问题，需要注意以下几点：
   
   
   • 是否希望此搜索不区分大小写？[Y]>
     如果对此问题回答Yes，则不论大小写它都可以查找条目。
     
     
   • 是否要跟踪日志？[N]>
     如果对此问题回答Yes，则仅当生成新条目时才会查找这些条目。它不会搜索所有日志文件。选择否搜索所有日志。
     
     
   • 是否要对输出进行分页？[N]>
     如果对此问题回答Yes，则每次显示条目一页。如果您需要执行常规搜索并期望检索许多条目，这非常有用。这将阻止条目从显示中滚出。
   
   
   
2. 搜索MID：
   
   

   mail.example.com> grep
   Currently configured logs:
   16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
   Enter the number of the log you wish to grep.
   []> 16
   Enter the regular expression to grep.
   []> MID 96
   Do you want this search to be case insensitive? [Y]>
   Do you want to tail the logs? [N]>
   Do you want to paginate the output? [N]>
   Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
   Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
   Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
   <nasir@example.com>
   Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
   <4o8836$30@mail.example.com>
   Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
   Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
   <bob@example.net>
   Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
   per-recipient policy DEFAULT in the outbound table
   Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
   Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
   Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
   Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
   Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
   <4o8836$30@mail.example.com> Queued mail for delivery'
   Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done

   
   
   请注意，MID条目提供有关如何处理邮件的更多信息。MID条目还引用ICID和DCID。如果要了解有关传入连接的详细信息，请对ICID输入grep。如果要了解有关ESA尝试传送时发生的变化的详细信息，请对DCID输入grep。
   
   
3. 要确定消息送达的位置，请搜索DCID。
   
   

   mail.example.com> grep
   Currently configured logs:
   16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
   Enter the number of the log you wish to grep.
   []> 16
   Enter the regular expression to grep.
   []> DCID 14
   Do you want this search to be case insensitive? [Y]>
   Do you want to tail the logs? [N]>
   Do you want to paginate the output? [N]>
   Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
   address 10.1.1.112 port 25
   Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
   Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
   Fri Feb 3 15:42:11 2006 Info: DCID 14 close

   
   
   注意，该消息是通过端口25从192.168.0.199接口发送到IP地址为10.1.1.112的主机的。
   
   如果未尝试传送，但邮件已排队等待传送，则表明系统在与目标服务器通信时可能遇到困难。您可以使用CLI中的hoststatus查看收件人主机的状态是否为Down，并验证已排序的IP是否与目标域的SMTP路由或公共MX记录（如果适用）相匹配。